|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] rootkit на windows xp pro sp3 vl rus |
|
|
[решено] rootkit на windows xp pro sp3 vl rus
|
|
Старожил Сообщения: 163 |
Обнаружил руткит на новой чистой только что установленной системе:
Установил windows xp pro sp3 vl rus в VirtualBox 3.2.10 В установленной чистой винде скачал gmer, запустил. Вот отчет: " GMER 1.0.15.15477 - http://www.gmer.net Rootkit quick scan 2010-10-30 16:33:01 Windows 5.1.2600 Service Pack 3 Running: biznzsv1.exe; Driver: C:\DOCUME~1\9335~1\LOCALS~1\Temp\kfxyafoc.sys ---- System - GMER 1.0.15 ---- Code F0C0F5E3 Kei386EoiHelper ---- EOF - GMER 1.0.15 ---- " Запускаю AVZ. Вот что говорит: Функция ExAcquireSharedStarveExclusive (804F0279) - модификация машинного кода. Метод Int03h., внедрение с байта 15 Функция ExConvertExclusiveToSharedLite (804FB5E3) - модификация машинного кода. Метод JmpTo. jmp F783ABC0 , внедрение с байта 5 Функция ExDisableResourceBoostLite (804EFE53) - модификация машинного кода. Метод JmpTo. jmp F7831F78 , внедрение с байта 5 Функция ExIsResourceAcquiredExclusiveLite (804E8905) - модификация машинного кода. Метод JmpTo. jmp F7832790 , внедрение с байта 11 Функция ExIsResourceAcquiredSharedLite (804EE3B6) - модификация машинного кода. Метод JmpTo. jmp F7832538 , внедрение с байта 12 Функция ExReleaseResourceForThreadLite (804EFAD6) - модификация машинного кода. Метод JmpTo. jmp F784A998 , внедрение с байта 8 Функция ExSetResourceOwnerPointer (804F042D) - модификация машинного кода. Метод JmpTo. jmp F7843DA0 , внедрение с байта 12 Функция IoStopTimer (8052DD7B) - модификация машинного кода. Метод JmpTo. jmp F784FE10 , внедрение с байта 11 Функция KeRemoveQueueDpc (805038A9) - модификация машинного кода. Метод JmpTo. jmp F7851E30 , внедрение с байта 6 Откуда на чистой винде? Проверял, переустанавливал несколько раз. |
|
|
Отправлено: 13:49, 30-10-2010 |
|
Модератор
Сообщения: 16844
|
Профиль | Сайт | Отправить PM | Цитировать Цитата chemtech:
Контрольная сумма совпадает: SHA1: B7E0DD8B8832E4966E61A9EC3CCD9E7EF3EAD1B3 |
|
|
------- Отправлено: 14:10, 30-10-2010 | #2 |
|
Старожил Сообщения: 163
|
Профиль | Отправить PM | Цитировать Нет. Скачивал отсюда: http://thepiratebay.org/torrent/4151...8x86%29_vl._Ru
MD5 как и там 02B46B7F74308D7D31E608DB8DDDDFFD а SHA-1 B7E0DD8B8832E4966E61A9EC3CCD9E7EF3EAD1B3 |
|
Отправлено: 15:18, 30-10-2010 | #3 |
|
Старожил Сообщения: 163
|
Профиль | Отправить PM | Цитировать У кого-нибудь подтвердилось?
|
|
Отправлено: 17:01, 31-10-2010 | #4 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать В ПО скачанном с пиратских ресурсов - может быть всё, что угодно. ПО то ведь патчено. Там может быть любой вирус.
скачайте с официального источника и сравните. Логов нет - Тема закрыта. Не будет логов - тему снова закрою. |
|
|
------- Последний раз редактировалось iskander-k, 01-11-2010 в 19:47. Отправлено: 17:39, 31-10-2010 | #5 |
|
Старожил Сообщения: 163
|
Профиль | Отправить PM | Цитировать Сейчас снова несколько раз повторил - ничего не обнаружил.
С одной стороны хорошо, что ничего не нашел. С другой не знаю что и думать, что это было? откуда? Спасибо всем кто откликнулся. |
|
Отправлено: 20:33, 06-11-2010 | #6 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать И где руткит? Я его в этих обрывках не усматриваю
 |
|
------- Отправлено: 21:31, 06-11-2010 | #7 |
|
Старожил Сообщения: 163
|
Профиль | Отправить PM | Цитировать Вот это меня забеспокоило. Может это и не руткит.
Цитата:
|
|
|
Отправлено: 08:02, 07-11-2010 | #8 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Это драйвер самого gmer
Там же ясно написано |
|
------- Отправлено: 11:17, 07-11-2010 | #9 |
|
Старожил Сообщения: 163
|
Профиль | Отправить PM | Цитировать Как будет еще подозрение, напишу.
|
|
Отправлено: 16:43, 08-11-2010 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Сборка Windows XP SP3 rus | professsor | Тест-форум | 6 | 11-05-2010 08:54 | |
| WindowsXP Pro SP3 Rus VL + UpdatePack 10.1.22 | tetiazina | Автоматическая установка Windows 2000/XP/2003 | 5 | 07-05-2010 20:04 | |
| Ресурсы - Шаблоны LOGONUI для WINDOWS XP SP3 RUS | Smarty | Оформление Windows XP | 20 | 28-11-2009 02:44 | |
| Интерфейс - [решено] Как исправить глюк с Ctrl-c/Сtrl-v в WIN XP SP3 PRO rus vlk. | mr.R | Microsoft Windows 2000/XP | 11 | 09-05-2009 01:02 | |
| Загрузка - [решено] Windows XP Rus SP3 | DarkMaximus | Microsoft Windows 2000/XP | 4 | 13-05-2008 11:43 | |
|
|
Время: 10:56. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
